项目地址

https://github.com/CoolerVoid/codecat

CodeCat – 帮助进行静态代码分析的工具

CodeCat 是一个开源工具，可帮助您使用静态代码分析查找/跟踪用户输入接收器和安全漏洞。 这些点遵循正则表达式规则。

C、C++、GO、Python、javascript、Swift、PHP、Ruby、ASP、Kotlin、Dart 和 Java 的当前规则。 是的，您可以创建自己的规则并管理每个资源。

视频

特征

• 按照 Regex 自定义规则进行递归代码搜索
• 代码视图中的语法突出显示
• 使用数据表的搜索系统，很棒的资源！
• 管理规则的系统
• 上传项目的资源
• 认证系统
• 控制用户的资源
• 通过 IP 地址在允许列表之后控制 HTTP 访问的资源
• 应用程序遵循 OWASP 的安全实践

如何安装，一步一步：

转到 CodeCat 目录，安装后端和前端库：

$ apt install python3-venv python3-dev libffi-dev rustc libssl-dev
$ python3 -m venv .venv
$ . .venv/bin/activate
$ pip install wheel
$ pip install -r Frontend/requirements.txt
$ pip install -r Backend/requirements.txt

设置环境变量（使用适当的保险库来保存该资源）

$ export CODECAT_APPKEY="Dyland0Gc0m1C"
$ export CODECAT_SECRET="M4rt1nMyster3c0m1C"
$ export CODECAT_CSRF_KEY="y0ur SEcr3t K3y h3RE"

运行后端和前端：

$ cd Codecat
$ cd Frontend; python3 wsgi.py &
$ cd ..
$ cd Backend; python3 wsgi.py &

下一步你需要保存你的用户登录：

$ curl -i -X POST -H "Content-Type: application/json" -d '{"email":"admin2@test.com","username":"admin","password":"rubrik123"}' https://127.0.0.1:50001/api/users -k

这些端点 /API/users 在第一次部署中只运行一次。 如果再次尝试发送请求插入用户，端点返回 404 是安全的，以阻止可能的攻击资源。

转到以下“ https://127.0.0.1:50093/front/auth/ ”。 现在你可以进入这个系统认证，使用登录“admin”，通过“rubrik123”。

关于 TLS 的注意事项： 您可以在“wsgi.py”中配置和加载您的 TLS 证书。

您可以在允许列表中插入 IP 地址以控制 HTTPd 和 Rest API 中的访问：

$ cat Frontend/application/allow_list/addr.txt
127.0.0.1
0.0.0.0
$ cat Backend/application/allow_list/addr.txt
127.0.0.1
0.0.0.0
localhost

生产

假设您需要在生产环境中运行。 所以我推荐另一种方式。

$ gunicorn -b 127.0.0.1:50001 wsgi:app

如果需要，您可以将 TLS 与 CERT 资源一起使用：

$ gunicorn --certfile=server.crt --keyfile=server.key -b 127.0.0.1:50001 wsgi:app

与前端相同的命令，但您需要使用端口 50093。

你如何使用它？

请研究文档。 https://github.com/CoolerVoid/codecat/blob/master/doc/raptor.pdf

所以有任何问题，请创建一个问题，我可以尽力帮助你。

笔记

该工具的目的是用于代码审查，使用前请注意是否有适当的授权。 我不对你的行为负责。 你可以用锤子建造房子或摧毁它，选择法律路径，不要做坏人，记住。